C’est une première en Europe. Saisie par la CNIL belge, le tribunal de première instance de Bruxelles, statuant en référé, a interdit à Facebook de glaner des données personnelles des internautes non inscrits sur son site. Sauf à obtenir préalablement leur consentement.
La procédure avait été initiée début 2015 par la Commission de la protection de la vie privée. La CPVP, équivalent de notre CNIL, avait décidé d’ausculter de près la refonte des conditions générales d’utilisation du réseau social et en particulier sa politique de gestion des cookies.
Selon la CPVP, « Facebook bafoue les législations européennes et belges »
Le 13 mai 2015, la CPVP avait publié une recommandation, après avoir commandé une étude approfondie auprès d’un groupe de recherche interuniversitaire (voir ce PDF et cette page pour les cookies). « Les résultats de cette analyse sont déconcertants, écrivait alors l’autorité de contrôle, sans ménagement. Facebook bafoue les législations européennes et belges en matière de vie privée, et ce à différents niveaux ». Elle épingle spécialement l’acteur américain pour le traitement des « données à caractère personnel tant de ses membres, utilisateurs, que de tout internaute qui entre en contact avec des produits et des services de Facebook. »
Dans sa recommandation, elle suggérait également aux sites qui utilisent des plug-ins sociaux d’opter pour des solutions à deux clics, histoire d’obtenir véritablement le consentement de l’utilisateur lorsqu’il pointera sa souris sur « J’aime » ou « Partage ». « Le propriétaire du site Internet doit informer correctement le visiteur de son site Internet et doit obtenir son consentement spécifique pour les cookies et autres métafichiers dont il ne maîtrise probablement pas la réutilisation ». Enfin, à destination des utilisateurs, elle conseille « d’utiliser des add-ons de navigateur qui bloquent le traçage ou d’utiliser le mode incognito de leur navigateur. »
En réponse Facebook avait surtout estimé que la législation belge ne lui était pas applicable, puisque l’entreprise a son siège européen à Dublin. Le dossier n’ayant pas obtenu d’issue favorable aux yeux de la CNIL belge, celle-ci a décidé d’agir en référé devant le tribunal de première instance de Bruxelles. Bien lui en a pris : dans son ordonnance rendue hier, celui-ci lui a donné gain de cause.
Une astreinte de 250 000 euros par jour de retard
La justice belge somme ainsi Facebook de cesser de conserver les données privées des internautes non membres du réseau dans les 48 heures, sous astreintes de 250 000 euros par jour de retard. Comme rapporté par L'Echo.be, le cœur du litige repose sur les cookies placés sur leur ordinateur afin de retracer leur historique. Selon le communiqué du tribunal, cité par nos confrères, « ces cookies continuent d'exister pendant deux ans et Facebook peut les consulter à chaque fois qu'un internaute arrive sur une page Facebook ou sur la page d'un site où il peut "liker" ou recommander le contenu à d'autres utilisateurs de Facebook. Le juge des référés a jugé qu'il s'agit de données personnelles, que Facebook peut seulement utiliser si l'internaute donne expressément son consentement, comme le prévoit la loi belge de protection de la vie privée. »
« Facebook place des cookies qui retiennent qu’un internaute a visité une page Facebook, par exemple celle d’un ami, mais aussi qu’il a visité la page d’une chaîne de magasins, d’un parti politique, d’un groupe d’entraide ou d’une autre association. Ainsi, ils conservent des cookies sur les intérêts éventuels et les préférences des internautes » a encore déploré la même source, dans un extrait cité cette fois par LeSoir.be .
Pour la justice, la seule façon pour Facebook de glaner ces informations est de recueillir le consentement préalable des internautes, voilà d’ailleurs pourquoi son attention se porte sur les seuls internautes non inscrits sur le site, ceux qui n’ont pu exprimer un tel vœu.
Facebook n’aime pas
Anticipant cette décision, Alex Stamps, responsable sécurité de Facebook, avait décrit dans un post du 13 octobre sa politique de cookies en se focalisant sur celui baptisé « datr » : diminuer le risque de création de faux comptes, prévenir des attaques DDoS ou le vol de contenus, etc. « Si la justice nous interdit d’utiliser ce cookie en Belgique, nous perdrons un de nos meilleurs signaux pour démontrer que quelqu’un vient sur notre site de manière légitime. Dans la pratique, cela signifierait que nous aurions à traiter toute visite sur notre service en ligne comme une connexion non sécurisée, nous contraignant de déployer toute une gamme d’autres méthodes pour vérifier que les internautes sont les légitimes propriétaires de leurs comptes. Cela rendrait également la Belgique plus attrayante pour les spammeurs et ceux qui font du trafic dans des comptes compromis sur des forums undergrounds. »
Ce déluge d'arguments techniques n'a pas fait mouche, pas plus, sur le terrain juridique que la ligne de défense les avocats de Facebook. Ils ont maintenu que « c'est l'autorité de surveillance de l'État où est situé l'établissement qui s'occupe du traitement des données récoltées qui est compétente. Dans ce cas, il s'agit de la commission de protection de la vie privée irlandaise. Celle-ci a examiné à plusieurs reprises et approuvé la politique de cookies de Facebook ».
L’entreprise américaine a fait savoir qu’elle ferait appel de l’ordonnance. Si ce recours n'est pas suspensif, l’enjeu pour elle ne réside pas seulement en Belgique : c’est la crainte d’un effet d’entraînement dans l’ensemble des pays européens, dont la France du moins si la CNIL venait à montrer le même volontarisme que la CPVP au regard des règles affichées sur son site.
On notera que c’est à la porte de la CNIL irlandaise que l’Autrichien Maxim Schrems avait vainement dû agir, avant finalement de faire tomber le Safe Harbour devant la CJUE. Il avait alors pris pour tremplin la capacité pour la NSA d’ausculter de près les flux glanés par le réseau social.
